私は 10 台から 30 台のマシンでいくつかのネットワークを管理しており、bind
ネームサーバーを実行してクライアントに DNS 解決を提供しています (Comcast や Google に転送するのではなく、その方法でユーザーのインターネット アクティビティを宣伝することは望んでいません)。私のネームサーバーはいくつかのローカルなものに対して権限があり、その他すべてに対してルートからの完全な解決を行います。これはほとんど正しく機能しますが、新しく再起動した後でも、bind がエラーをログに記録し始めるのに時間がかかりません。これらは、まったく新しい名前が解決されたとき、または のコピーがまたはなどから解決を開始したgot insecure response; parent indicates it should be secure
ときに発生すると思います。bind
.com
.org
私はまだ現在の DNS プロトコルを詳しく調べたり、tcpdump
スニッフィングを開始したりしていません。誰かが「タイムベースがずれています」などと言って、DNS の深いところまで調べなくても済むようにしてくれることを願っています。(私は NTP を実行しており、システム時間は十分近いので、それが問題ではないと考えています。)
このような再帰ネームサーバーを実行している小規模サイトに影響する一般的な問題はありますか? または、 を並行して実行して、 がエラーを発するbind
理由を突き止めるのに役立つ優れたツールはありますかbind
? 一部の名前が解決されない場合でも、他の名前は解決されると思います。たとえば、 で問題が発生している可能性があります。foo.bar.com.
これは として報告されますvalidating .com/SOA: got insecure response
が、gibble.gobble.com
正常に解決されます。(私の はbind
自作の OpenWRT ルーターで実行されているため、ツールの新しいバージョンをビルドするのは多少不便ですが、新しいシステムを再構築して再インストールする必要がある場合は、それを実行できます。)
答え1
このメッセージは、参照しているドメインが DNSSEC 対応である (つまり、親ドメインに子を指す DS レコードがあり、子のレコードが署名されている必要がある) が、応答に DNSSEC 署名が付いていない (ドメインの設定が間違っている) か、ネームサーバーが DNSSEC 署名を解釈できなかった (DNS サーバーが処理できない暗号化アルゴリズムで署名が生成された可能性がある) ことを意味します。解決に失敗したドメインの具体的な例がなければ、どちらが失敗したかはわかりません。
DNSSEC 検証をオフにすれば、エラー (および名前解決) の失敗を確実に防ぐことができますが、セキュリティの観点からは、これはあまり良い考えではありません。家の正面玄関に鍵をかけなければ、締め出されることもないでしょう ;-) エラーの原因がドメインの DNSSEC の設定ミスである場合、明らかにそれについてできることはあまりありません (BIND では、たとえ望んでも、ドメインごとに DNSSEC エラーを選択的に無視する方法は提供されていないと思います)。問題が BIND のバージョンでサポートされていない暗号化アルゴリズムである場合、BIND を更新することが唯一の解決策である可能性があります。